マイクロソフト株式会社のセキュリティレスポンスチーム、奥天陽司マネージャは12月14日、株式会社ラックが主催した「まだまだ間違いだらけのイントラネットセキュリティセミナー」の中で、「企業内における脅威への対応とマイクロソフトの先端事例」と題した基調講演を行った。
|
マイクロソフトのセキュリティレスポンスチーム、奥天陽司マネージャ
|
|
多層防御の考え方に基づくセキュリティ対策
|
奥天氏は「最近は(セキュリティを取り巻く状況が)落ち着いた、と言われているが、それは本当か」と切り出した。同氏によれば、脅威は内在化しただけで、その懸念は変わっていないという。内在化の例としては、最近話題のrootkitを取り上げ、「マイクロソフトがWindows Update経由で削除しているマルウェアのうち、5、7、17番目がrootkitで、感染PCは何十万台もある」としたほか、巧妙な手口で感染を引き起こすAntinnyに代表されるように、ソーシャルエンジニアリングも進化しているとし、マルウェアの感染数が減らない背景には、この手法が大きな役割を果たしていると述べた。
さらに奥天氏は、脅威に対して、実情とは異なる認識が広がってしまっていることも大きいと指摘した。「Zotobはメディアが騒ぎすぎただけで、実は被害がほとんどない。しかし、同じ脆弱性を悪用するSbotはその何十倍も感染している」と述べ、一般ユーザーにとって、実情が見えにくくなってしまっていることも問題視している。
あわせて、単なる脅威から金銭目的の“犯罪”への変化、これで十分だと思いたい管理者側の願望、なども懸念だとした奥天氏は、一番の問題点として、「管理できない管理者が増えている」点に触れた。「これは技術的な理由ではなく、社内での地位が低いために対策が十分に行えていないという意味だ」とした。
一方、実際に存在する脅威モデルとして、「Spoofing(なりすまし)」「Tampering w/ data(データ改ざん)」「Repudiation(否認)」「Information disclosure(情報漏えい)」「Denial of service(サービス拒否)」「Elevation of privilege(アクセス権の昇格)」の“STRIDE脅威モデル”6種を挙げた奥天氏は、「これらに対するには多層防御が必要。1つの対策だけでは、ほかのアプローチを取られた時に防げない。ネットワーク境界/内部、コンピュータ/データそのものなど、各レイヤに関してさまざまな対策を行う必要がある」と、これまでの主張を繰り返した。
対策とは具体的には、ファイアウォールだったり、IDSだったり、暗号化だったり、各レイヤでさまざまなソリューションが存在しているのが現状である。ただし奥天氏は、これらを単に重ねればいいわけではないとする。「しっかりと監視できていて、効果が見えているかどうかが大切で、これからは統合して動くような環境が求められる主流になるだろう」と述べた。
■ IT部門が強い影響力を持つマイクロソフトの体制
そして奥天氏は、マイクロソフト自身の例を挙げて、セキュリティ対策を説明した。同社ではスマートカードによる入退出管理などの物理セキュリティから、ポリシー策定、ネットワーク境界部・内部ネットワーク・アプリケーション・データなどの各セキュリティまで、階層的にセキュリティ対策が行われているが、中でも特徴的なのは、IT専任チームの社内への影響力がとても強いことだという。
たとえば「パッチを提供する中で、本当に危険なものは期間を区切って全社員が適用しろ、と強制され、違反者のPCには、パッチを強制的に適用した上で、見せしめのためにネットワークを遮断される」という。当然、遮断された人間の業務は停止してしまうことになるので、本来の業務施行という意味ではマイナスなのだが、それが許されるぐらいの権限が与えられているわけだ。
もちろん、企業の中には業務部門の力がとても強いところも多く、すべてがこうしたマイクロソフトのような運用を行えているわけではない。そういうところは得てして自分たちの思うように仕事をしたがるため、独自サーバーを設けているところが多いのではないか。しかし奥天氏は「当社ではルールとして、独自サーバーは設置してはいけないことになっている。人間は、バックアップもチェックもされないそうしたサーバーについ保存したくなってしまうので、当社内でも過去至る所に存在した独自サーバーはすべて撤去された」と述べ、管理しきれない要素を極力排除しているとした。
管理されているという意味では、同社内ではサーバーだけでなく、すべてのPCがActive Directoryで完全に管理されているという。Systems Management Server(SMS)でインベントリ管理を行っているのもその一環だし、「サーバー管理者がクライアント管理者にもなっている状況。『会社の資産は会社が見られて当然』というポリシーのもと、何を(ユーザーが)保存したのかをいつでも(管理者が)見られる。場合によっては勝手に設定を変えてくる」状況にもなっているというのである。
こうした管理体制を確立する一方、マイクロソフトではあわせて、セキュリティリテラシ教育にも非常に力を入れているという。「厳格なセキュリティポリシーがあり、やってはいけない一線がある。オンライン教育の完全受講が求められ、メールの保存など、証拠保全も含めてたたき込まれる」(奥天氏)。また、ウイルスの状況などを共有する体制や、業界全体での緊急時対応が必要な時に備えてのトレーニングなども行われているとした。
そして奥天氏はこうしたマイクロソフトでの取り組みを振り返り、多額の費用がかかっているので、そのまますべてをほかの企業へ導入するのは無理だろうとしながらも、Active Directoryの集中管理や、IT部門へ与える権限の明確化、一貫性のある対応作りなど、部分的にでも取り込んでほしいと述べた。さらに、「セキュリティの状況は年々悪くなってきているので、今のうちに社内のガバナンスを強固にして、ITセキュリティを前進させ、安心してITを使える環境をつくることによって、ポジティブなスパイラルを作り上げて欲しい。それが競争力につながっていくのではないだろうか」と語り、講演を締めくくった。
■ URL
まだまだ間違いだらけのイントラネットセキュリティセミナー
http://www.lac.co.jp/news/seminar_training/seminar/20051214.html
( 石井 一志 )
2005/12/14 17:43
|